Recentemente, chatbots de Inteligência Artificial (IA)1 surgiram e vêm sendo utilizados por públicos e setores diversos, sendo possível mencionar que a IA tornou-se peça fundamental para o desenvolvimento econômico e tecnológico da sociedade contemporânea.2 A adoção massiva de chatbots vem revolucionando a comunicação digital, proporcionando respostas automatizadas em vários segmentos, incluindo atendimento ao cliente, educação e saúde.
Tais softwares são impulsionados por uma tecnologia chamada Modelos de Linguagem de Larga Escala, tradução livre do termo de língua inglesa Large Language Models (LLMs), que tem como foco o processamento de linguagem que se assemelhe à comunicação humana. São treinados e aprimorados usando uma grande quantidade de dados, como, por exemplo, livros, artigos científicos, páginas web, e este treinamento também inclui dados pessoais. Por este motivo, ainda que as ferramentas possam oferecer benefícios, o tratamento de dados por parte de empresas que disponibilizam os chatbots, como a DeepSeek e OpenAI, são constante alvo de dúvidas e questionamentos por parte de autoridades de proteção de dados, principalmente, na União Europeia (UE)3.
A legitimidade sobre o tratamento de dados é questionada devido a falta de conformidade com General Data Protection Regulation (GDPR), legislação da UE sobre proteção de dados pessoais, que tem grande semelhança com a Lei Geral de Proteção de Dados (LGPD)4. Este texto expõe algumas das preocupações relativas à proteção de dados por parte do ChatGPT-4 e o DeepThink-R1 frente ao compliance com a legislação do bloco econômico europeu.
Desafios regulatórios diante do General Data Protection Regulation: ChatGPT-4 e DeepThink-R1
O ChatGPT-4, desenvolvido pela empresa norte-americana OpenAI, foi lançado em março de 2023. Este modelo representa a versão de chatbot mais completa e desenvolvida da organização, apresentando grande capacidade de compreensão e geração de texto, coerência contextual e desempenho em tarefas complexas.
A DeepSeek é uma empresa chinesa, que, em novembro de 2023, lançou seu primeiro modelo de chatbot, denominado DeepSeek-V3. Em janeiro de 2025, divulgou o DeepThink-R1, uma versão de maior desempenho, que se destaca por concorrer, fortemente, com o ChatGPT-4.
Tanto o chatbot da OpenAI quanto da DeepSeek foram treinados em vastos conjuntos de dados, compostos por bilhões de palavras extraídas de livros, páginas da web e outras fontes diversas. Graças a esse treinamento, é possível a interpretação de perguntas e o fornecimento de respostas coerentes e bem estruturadas por parte do software.
Os desafios enfrentados pelas empresas que desenvolvem e oferecem tecnologias baseadas em modelos de IA demandam uma abordagem criteriosa e estratégica para garantir conformidade regulatória e mitigação de riscos. Entre os aspectos críticos que exigem atenção destacam-se a qualidade e precisão dos dados utilizados para o treinamento dos modelos, a proteção de dados pessoais e, em especial, a salvaguarda de dados sensíveis.
Nesse contexto, o European Data Protection Board (EDPB) formulou questionamentos específicos sobre a adequação do ChatGPT-4 ao GDPR, por analogia também aplicáveis ao DeepThink-R1, evidenciando lacunas de compliance frente ao GDPR. Os principais pontos levantados incluem:
- Não conformidade com os princípios fundamentais da proteção de dados: falta de garantia quanto à minimização, transparência e definição clara da finalidade do tratamento de dados pessoais;
- Armazenamento e processamento de dados pessoais: necessidade de esclarecimento sobre os métodos e bases legais que fundamentam a retenção dessas informações;
- Base jurídica para o tratamento de dados: exigência de fundamentação legal que legitime a coleta, uso e armazenamento de informações pessoais, garantindo aderência às normas do GDPR;
- Transferência internacional de dados: necessidade de assegurar que transferências transfronteiriças ocorram apenas para países que apresentem nível adequado de proteção ou adotem salvaguardas compatíveis com a legislação europeia;
- Uso de informações pessoais para criação de perfis e decisões automatizadas: esclarecimento sobre o emprego de dados para modelagem comportamental e impactos decorrentes de decisões automatizadas;
- Implementação de medidas de segurança: adoção de mecanismos eficazes para a prevenção de vazamentos e acessos indevidos a informações sensíveis.
Essas questões demonstram que a governança da IA não se limita à inovação tecnológica, mas implica responsabilidades regulatórias complexas, exigindo das empresas um compromisso contínuo com a transparência, segurança e respeito aos direitos fundamentais dos titulares de dados.5
Considerações Finais
Os chatbots de IA baseados em LLMs, como o ChatGPT-4 e o DeepThink-R1, representam avanços significativos na interação humano-máquina. No entanto, sua disseminação impõe desafios regulatórios e éticos substanciais, especialmente no que concerne à proteção de dados pessoais. A crescente adoção dessas tecnologias exige um compromisso rigoroso com a transparência, a segurança da informação e a conformidade com as normativas globais de proteção de dados.
Exemplificando essa tensão regulatória, tanto o ChatGPT-4 quanto o DeepThink-R1 enfrentaram restrições na Itália, que bloqueou temporariamente seu acesso e solicitou esclarecimentos sobre as medidas adotadas para salvaguardar informações pessoais. Essa postura reflete um movimento mais amplo dentro da UE, onde autoridades administrativas e o EDPB têm reforçado a defesa dos direitos dos titulares, consolidando a cultura de proteção de dados como princípio central da governança digital.
Nesse contexto, a observância das melhores práticas de governança de dados torna-se imprescindível. Garantir o exercício pleno dos direitos dos titulares exige não apenas a disponibilização de informações claras sobre suas prerrogativas, mas também a criação de canais eficazes para a apresentação de solicitações e reclamações. A tutela dos direitos fundamentais dos titulares deve ser assegurada de forma contínua, permitindo que eles exerçam controle sobre seus dados junto aos controladores a qualquer momento.
A UE, consolidada como referência global em proteção de dados, desempenha um papel determinante na definição dos padrões regulatórios internacionais. Seus esforços de investigação e fiscalização, conduzidos por diferentes autoridades nacionais e pelo EDPB, não apenas moldam o debate global sobre IA e privacidade, mas também estabelecem precedentes que influenciam a formulação de políticas em outras jurisdições. Assim, a evolução da regulamentação sobre inteligência artificial não se restringe ao campo tecnológico, mas se insere em um debate mais amplo sobre direitos fundamentais e soberania digital.
__________
1 Inteligência artificial é um campo amplo que visa simular a inteligência e o comportamento humano. Dentro do seu escopo estão compreendidos o aprendizado de máquina, aprendizagem profunda, e inteligência artificial generativa. Todos os três conceitos compartilham uma base comum: aprender com os dados.
2 Para mais informações sobre a abordagem da União Europeia sobre a Inteligência Artificial, acesse aqui.
3 Em 2018, foi aprovado no âmbito do bloco econômico europeu o ??Regulamento Geral sobre a Proteção de Dados (RGPD), amplamente conhecido pelo seu nome em língua inglesa: General Data Protection Regulation (GPDR). O Regulamento 2016/679 trata de regras relativas à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, tendo revogado a Diretiva 95/46/CE.
4 A partir da lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados (LGPD], o Brasil passou a ter normas específicas sobre o tratamento de dados pessoais.
5 Disponível aqui.